91. Il consenso esplicito è richiesto in talune circostanze nelle quali emergono gravi rischi per la protezione dei dati e in cui si ritiene quindi appropriato un livello elevato di controllo individuale sui dati personali. Il regolamento generale sulla protezione dei dati richiede il consenso esplicito all’articolo 9 per il trattamento di categorie particolari di dati, all’articolo 49 per i trasferimenti di dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate, e all’articolo 22 per i processi decisionali automatizzati relativi alle persone fisiche, compresa la profilazione.
92. In base al regolamento, prerequisito per l’ottenimento di un consenso “conforme” è una “dichiarazione o un’azione positiva inequivocabile”. Poiché il requisito del consenso “conforme” nel regolamento è già elevato a un livello superiore rispetto al requisito del consenso di cui alla direttiva 95/46/CE, è necessario chiarire quali sforzi supplementari debba attuare il titolare del trattamento per ottenere il consenso esplicito dell’interessato in linea con il regolamento.
93. Il termine esplicito si riferisce al modo in cui il consenso è espresso dall’interessato e significa che l’interessato deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi che il consenso sia esplicito consisterebbe nel confermare espressamente il consenso in una dichiarazione scritta. Se del caso, il titolare del trattamento potrebbe assicurarsi che la dichiarazione scritta sia firmata dall’interessato, al fine di dissipare tutti i possibili dubbi e la potenziale mancanza di prove in futuro.
94. Tuttavia la dichiarazione firmata non è l’unico modo per ottenere il consenso esplicito e non si può affermare che il regolamento prescriva dichiarazioni scritte e firmate in tutte le circostanze che richiedono un consenso esplicito valido. Ad esempio, nel contesto digitale od online, l’interessato può emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica. In teoria, anche l’uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un consenso esplicito valido, tuttavia può essere difficile per il titolare del trattamento dimostrare che tutte le condizioni per la validità del consenso esplicito siano state soddisfatte quando la dichiarazione è stata registrata.
95. Un’organizzazione può anche ottenere il consenso esplicito tramite una conversazione telefonica, a condizione che le informazioni sulla scelta siano corrette, intelligibili e chiare e che venga richiesta una conferma specifica da parte dell’interessato (ad esempio premendo un pulsante o fornendo una conferma verbale).
96. Esempio 17: Il titolare del trattamento può ottenere il consenso esplicito da un visitatore del proprio sito web mettendo a disposizione una schermata di consenso esplicito contenente caselle di controllo “Sì” e “No”, a condizione che il testo indichi chiaramente il consenso, ad esempio con una dicitura del tipo “In questo modo acconsento al trattamento dei miei dati” e non ad esempio tramite una formulazione del tipo “Mi è chiaro che i miei dati saranno trattati”. Va da sé che devono essere soddisfatte le condizioni per il consenso informato e le altre condizioni per la validità del consenso.
97. Esempio 18: Una clinica per chirurgia estetica chiede il consenso esplicito di un paziente al trasferimento della cartella clinica a un esperto per un secondo parere sulla condizione del paziente. La cartella clinica è costituita da un file digitale. Data la natura specifica delle informazioni in questione, la clinica chiede la firma elettronica dell’interessato per ottenere un consenso esplicito valido e per essere in grado di dimostrare che è stato ottenuto detto consenso esplicito.
98. Anche la verifica in due fasi del consenso può essere un modo per assicurarsi che il consenso esplicito sia valido. Ad esempio, l’interessato riceve un’e-mail che gli notifica l’intenzione del titolare del trattamento di trattare una cartella contenente dati medici. Il titolare del trattamento spiega nell’email che chiede il consenso all’uso di un insieme specifico di informazioni per una finalità specifica. Se l’interessato acconsente all’utilizzo dei dati, il titolare del trattamento gli chiede una risposta via e-mail contenente la dichiarazione “Acconsento”. Dopo l’invio della risposta, l’interessato riceve un link di verifica da cliccare oppure un messaggio SMS con un codice di verifica, in maniera da confermare il consenso.
99. L’articolo 9, paragrafo 2, non riconosce il trattamento “necessario all’esecuzione di un contratto” come un’eccezione al divieto generale di trattare categorie particolari di dati. Di conseguenza i titolari del trattamento e gli Stati membri che rientrano nel contesto di applicazione di tale circostanza dovrebbero esaminare le eccezioni specifiche di cui all’articolo 9, paragrafo 2, lettere da b) a j). Qualora non si applichi nessuna delle eccezioni da b) a j), l’ottenimento del consenso esplicito in conformità con le condizioni per il consenso valido previste dal regolamento rimane l’unica eccezione lecita possibile per trattare tali dati.
100. Esempio 19: La compagnia aerea Holiday Airways offre un servizio di assistenza di viaggio ai passeggeri che non possono viaggiare senza assistenza, ad esempio a causa di una disabilità. Un cliente prenota un volo da Amsterdam a Budapest e richiede l’assistenza di viaggio per salire a bordo dell’aereo. Holiday Airways richiede al passeggero di fornire informazioni sulle sue condizioni di salute per essere in grado di organizzare i servizi appropriati (ad esempio, una sedia a rotelle a disposizione alla porta di imbarco o un assistente che viaggi con il passeggero da A a B). Holiday Airways richiede il consenso esplicito per trattare i dati sanitari del passeggero allo scopo di organizzare l’assistenza richiesta per il viaggio. I dati trattati sulla base del consenso devono essere necessari per il servizio richiesto. Inoltre i voli per Budapest sono disponibili anche senza assistenza di viaggio. Si noti che poiché tali dati sono necessari per la prestazione del servizio richiesto, l’articolo 7, paragrafo 4, non si applica.
101. Esempio 20: Un’azienda di successo è specializzata nella fornitura di occhiali da sci e da snowboard su misura e altri tipi di occhiali personalizzati per gli sport all’aria aperta. L’idea è che le persone possano indossare tali occhiali senza dover portare anche gli occhiali da vista. La società riceve ordini presso un punto centrale e consegna prodotti in tutta l’UE a partire da un’unica sede.
102. Per poter fornire i propri prodotti personalizzati ai clienti miopi, tale titolare del trattamento richiede il consenso all’uso delle informazioni sulle condizioni di vista dei clienti. I clienti forniscono i dati sanitari necessari - ad esempio i dati della loro prescrizione - online quando effettuano l’ordine. Senza questi dati non sarebbe possibile fornire gli occhiali personalizzati richiesti. L’azienda offre anche una serie di occhiali con valori correttivi standardizzati. I clienti che non desiderano condividere i dati sanitari possono optare quindi per le versioni standard. Di conseguenza, nel caso di specie, è richiesto un consenso esplicito ai sensi dell’articolo 9 e il consenso può essere considerato come espresso liberamente.